Il Garante privacy sanziona l’INPS per i controlli sul “bonus covid” ai politici

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Provvedimento numero 87 del 25 febbraio 2021

 

Fatto

Con l’ordinanza ingiunzione oggetto di commento, il Garante per la protezione dei dati personali ha sanzionato l’Inps a seguito della notizia appresa su alcuni quotidiani nazionali lo scorso anno, secondo cui alcuni deputati italiani ed amministratori politici locali avevano richiesto all’istituto previdenziale il bonus da 600 € mensili previsto dal decreto cura Italia per sostenere il reddito delle partite Iva durante la prima fase dell’emergenza sanitaria dovuta al diffondersi del Covid-19.

Appresa la notizia, nonostante non fosse ancora stato chiarito se tali soggetti avessero o meno diritto a percepire il suddetto bonus covid, il garante per la protezione dei dati personali ha, quindi, avviato un’istruttoria per accertare le modalità con cui l’Inps aveva trattato i dati personali dei suddetti politici che avevano richiesto il bonus Covid. Dall’istruttoria svolta dall’autorità è emerso che il sistema di controlli dell’istituto previdenziale volto ad accertare la sussistenza dei requisiti per ottenere il bonus in capo ai richiedenti, si basava su un primo controllo “di primo livello”, che veniva effettuato in maniera automatica attraverso il confronto informatizzato tra le informazioni che erano state dichiarate dal richiedente nel presentare la domanda, con le informazioni presenti nelle banche dati Inps. Nel caso in cui il primo controllo avesse avuto esito positivo, l’Inps erogava il bonus al richiedente; invece, nel caso in cui il controllo avesse avuto esito negativo, l’indennizzo non veniva erogato.

Nel caso dei parlamentari e degli altri politici locali richiedenti il bonus, l’Istituto ha effettuato anche dei cosiddetti “controlli di secondo livello”, effettuati attraverso l’acquisizione dei dati anagrafici dei deputati e dei soggetti che rivestivano cariche politiche nelle amministrazioni regionali e locali, acquisiti dalle pagine Web messe a disposizione dalla camera dei deputati e dal ministero degli interni. Attraverso le suddette informazioni anagrafiche, l’Inps ha calcolato il codice fiscale di tali soggetti, applicando le regole stabilite dalla normativa sull’attribuzione del codice fiscale, e quindi ha effettuato un confronto tra il codice fiscale generato in questo modo e i codici fiscali di tutti i richiedenti. Nel caso in cui il confronto ha dato esito positivo, il codice fiscale così individuato è stato ritenuto come attribuibile a un deputato o a un soggetto titolare di una carica di amministratore regionale o locale.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

Stefano Comellini, 2020, Maggioli Editore

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle...



La decisione del Garante

Il garante privacy ha ritenuto che l’attività di trattamento dati di cui sopra compiuta dall’istituto previdenziale presenta numerose criticità e violazioni della normativa europea in materia di protezione dei dati personali.

In primo luogo, il garante ha evidenziato come l’INPS abbia effettuato il confronto tra i dati dei richiedenti il bonus con quelli dei titolari di incarichi politici o di amministratori locali senza che fosse stata presa alcuna decisione da parte dell’istituto stesso, né del governo, circa la spettanza o meno del bonus a tali soggetti. Infatti, in considerazione della non chiara interpretazione normativa circa l’attribuzione del bonus anche a tali figure, si sono resi necessari degli approfondimenti giuridici che hanno coinvolto anche il ministero del lavoro, risolti soltanto con un parere ministeriale del dicembre 2020. Secondo il Garante, quindi, l’INPS avrebbe dovuto effettuare i controlli (e quindi il relativo trattamento dati) soltanto dopo aver chiarito i requisiti per l’attribuzione del bonus a tali soggetti. L’effettuazione del trattamento prima di tale momento ha comportato che il trattamento stesso ha violato i principi di liceità, correttezza e trasparenza.

In secondo luogo, il garante ha contestato che l’Inps abbia effettuato i controlli di secondo livello anche nei confronti di coloro i quali avevano richiesto il bonus, ma non ne erano risultati beneficiari in quanto esclusi già a seguito dei controlli di primo livello. Pertanto, l’Istituto ha trattato i dati personali dei soggetti che non avevano percepito il bonus, in quanto già esclusi durante i controlli di primo livello, per verificare se fra tali richiedenti vi fossero soggetti titolari delle citate cariche politiche. Invece, l’INPS, per raggiungere la finalità di controllo se fra i percettori del bonus vi erano anche i “politici” (identificabile come finalità del trattamento), avrebbe dovuto limitare il confronto soltanto rispetto ai codici fiscali di coloro i quali avevano ottenuto il bonus, non estendendolo invece anche ai codici fiscali di coloro i quali avevano fatto domanda, ma erano stati esclusi. In considerazione di ciò, il trattamento ha violato il principio di minimizzazione dei dati.

La terza criticità rilevata dal garante privacy ha riguardato, invece il fatto che l’Inps ha raccolto i dati personali di tali figure politiche utilizzando banche dati esterne e acquisendo dalle medesime le informazioni anagrafiche relative a tali soggetti, fra le quali però non vi era il codice fiscale (unico dato che permette di identificare in maniera univoca un soggetto). Come detto, l’Istituto ha poi utilizzato detti dati anagrafici per calcolare il codice fiscale di tali soggetti e quindi per confrontarlo con i codici fiscali dei richiedenti. Tuttavia, il calcolo del codice fiscale con le modalità effettuate dall’Inps non garantisce con certezza che il medesimo sia effettivamente corretto; ciò in quanto non permette di escludere casi in cui, stante la coincidenza dei dati anagrafici fra più soggetti, il codice fiscale calcolato risulti uguale ad un altro codice fiscale. In tali casi, infatti, l’Agenzia delle entrate ha il compito di attribuire ad uno dei due soggetti un codice fiscale diverso da quello che si dovrebbe ottenere attraverso l’applicazione dei metodi di calcolo previsti dalla normativa, proprio al fine di scongiurare che vi siano due o più codici fiscali identici. In considerazione di ciò, i dati personali (in particolare il codice fiscale calcolato nei modi di cui sopra) usati dall’Inps sono risultati non esatti da un punto di vista qualitativo, facendo sì che potrebbe essersi verificata una erronea individuazione del soggetto cui si riferisce il codice fiscale calcolato. Pertanto, l’INPS ha violato altresì il principio di esattezza dei dati.

Un altro profilo di criticità rilevato dal garante riguarda il fatto che l’Inps non ha effettuato una valutazione di impatto sulla protezione dei dati prima di compiere il trattamento di cui sopra. In considerazione di ciò, l’istituto non ha correttamente valutato i rischi elevati per i diritti e le libertà degli interessati che derivavano dal compiere le operazioni di confronto, su larga scala, dei dati personali acquisiti anche attraverso l’uso di banche dati esterne.

Infine, il garante ha evidenziato come il trattamento dati posto essere dall’Inps non rispetti neanche i principi di privacy by design e privacy by default. In particolare, l’istituto previdenziale, prima di avviare il trattamento dati, non ha predeterminato se il bonus covid spettava o meno ai soggetti che ricoprivano le cariche politiche nazionali o locali. Mentre, una corretta progettazione del trattamento dati avrebbe dovuto portare a individuare, prima di effettuare il trattamento stesso, i requisiti per poter fruire del bonus da parte di detti soggetti, e solo successivamente effettuare il trattamento.

Preso atto delle suddette criticità, il garante ha quindi ritenuto di sanzionare l’Inps per le violazioni gravi alla normativa europea in materia di trattamento dei dati personali, ingiungendo all’istituto previdenziale di cancellare tutti dati personali che erano stati trattati in violazione del principio di minimizzazione nonché di effettuare la valutazione di impatto sulla protezione dei dati trattati prima di compiere eventuali nuove operazioni di trattamento nonché irrogando una sanzione di importo pari ad euro 300.000.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

Stefano Comellini, 2020, Maggioli Editore

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!